AI Act oznacza dla firm w Polsce konieczność sprawdzenia, czy wykorzystywane narzędzia spełniają definicję systemu AI, jaką rolę pełni przedsiębiorstwo oraz czy konkretne zastosowanie sztucznej inteligencji wiąże się z dodatkowymi obowiązkami.

‍

W praktyce firmy powinny:

• zinwentaryzować narzędzia AI używane w organizacji;
• ocenić, czy są dostawcą, podmiotem stosującym, importerem, dystrybutorem lub producentem produktu z komponentem AI;
• sprawdzić poziom ryzyka danego systemu;
• uporządkować umowy z dostawcami technologii;
• wdrożyć zasady nadzoru człowieka;
• przeszkolić pracowników z bezpiecznego i zgodnego z prawem korzystania z AI.

‍

Najważniejsze nie jest więc samo korzystanie z AI, ale ustalenie, do czego system jest wykorzystywany, jaki ma wpływ na ludzi i kto ponosi odpowiedzialność za jego wdrożenie oraz nadzór.

‍

AI Act to unijne rozporządzenie, które zmienia sposób, w jaki przedsiębiorstwa mogą projektować, wdrażać i wykorzystywać systemy sztucznej inteligencji. Dla firm w Polsce nie jest to wyłącznie temat prawny. To także kwestia zarządzania ryzykiem, dokumentacją, dostawcami technologii, danymi, relacjami z pracownikami oraz odpowiedzialnością za skutki działania systemów AI.

‍

W praktyce AI Act firmy powinny traktować jako nowe ramy organizacyjne dla korzystania ze sztucznej inteligencji. Rozporządzenie ustanawia zharmonizowane przepisy dotyczące wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów AI w Unii, a także zakazy niektórych praktyk, wymogi dla systemów wysokiego ryzyka, obowiązki przejrzystości i zasady nadzoru rynku. Na tym etapie pomocna może być kancelaria prawna Warszawa, która wspiera przedsiębiorców w ocenie obowiązków regulacyjnych, analizie ryzyk i przygotowaniu dokumentacji zgodnej z nowymi przepisami.

‍

Dlaczego przepisy AI Act dotyczą także polskich przedsiębiorstw?

‍

Bez czekania na polską ustawę

‍

AI Act oznacza przede wszystkim to, że polskie firmy nie czekają na osobną krajową ustawę, aby zacząć przygotowania, czy jej wdrażanie. Rozporządzenie unijne wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Trwają jednak także prace nad krajową ustawą o systemach sztucznej inteligencji (obecnie procedowany w Sejmie). 

‍

Kluczowe daty

‍

Zgodnie z art. 113 AI Act zasadniczo stosuje się od 2 sierpnia 2026 r., przy czym część przepisów zaczęła obowiązywać wcześniej, Zakazane praktyki AI oraz obowiązki związane z kompetencjami w zakresie AI zaczęły mieć zastosowanie od 2 lutego 2025 r., a przepisy dotyczące zarządzania oraz obowiązków dla dostawców modeli AI ogólnego przeznaczenia – od 2 sierpnia 2025 r.

‍

Planowane przesunięcia

‍

W związku z porozumieniem politycznym dotyczącym uproszczenia stosowania AI Act harmonogram dla części systemów wysokiego ryzyka ma zostać przesunięty. Dla samodzielnych systemów wysokiego ryzyka używanych m.in. w obszarach takich jak biometria, infrastruktura krytyczna, edukacja, zatrudnienie czy migracja wskazywana jest data 2 grudnia 2027 r., a dla systemów wysokiego ryzyka zintegrowanych z produktami - 2 sierpnia 2028 r. Do czasu formalnego zakończenia procesu legislacyjnego warto ujmować tę zmianę jako wynik porozumienia politycznego i planowany harmonogram.

‍

Kogo obejmują przepisy?

‍

Dla przedsiębiorców oznacza to, że AI Act przepisy obejmują nie tylko największych dostawców technologii, ale także podmioty, które stosują systemy AI w działalności gospodarczej. Zakres regulacji obejmuje m.in. dostawców wprowadzających systemy AI na rynek UE, podmioty stosujące systemy AI mające siedzibę w Unii, importerów, dystrybutorów, producentów produktów z komponentami AI oraz podmioty spoza UE, jeśli wyniki systemu są wykorzystywane w Unii. 

‍

Od czego firma powinna zacząć przygotowania do AI Act?

‍

Przede wszystkim zależy to od roli przedsiębiorstwa i rodzaju wykorzystywanego systemu. Inne obowiązki będzie mieć firma, która tworzy i sprzedaje system AI pod własną marką, inne importer technologii. Do tego jeszcze inna sytuacja może wystąpić wtedy, gdy firma korzysta z systemu AI do rekrutacji, oceny pracowników lub automatyzacji obsługi klienta. W takich przypadkach istotna jest nie tylko analiza samego narzędzia, ale także obsługa prawna projektów AI, obejmująca ocenę ryzyka, dokumentację, umowy z dostawcami oraz zasady odpowiedzialnego korzystania z technologii w organizacji.

‍

W każdym przypadku:

• pierwszym krokiem powinno być ustalenie, czy dane rozwiązanie w ogóle jest „systemem AI” w rozumieniu AI Act. Wytyczne Komisji wskazują, że akt nie obejmuje wszystkich systemów informatycznych, ale tylko te, które spełniają definicję systemu AI. Definicja ta obejmuje system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także, który (na potrzeby wyraźnych lub dorozumianych celów) wnioskuje, jak generować na podstawie danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje wpływające na środowisko fizyczne lub wirtualne,
• następnie firma powinna przeprowadzić klasyfikację ryzyka. AI Act opiera się na podejściu ryzykowym: część praktyk jest zakazana, część systemów będzie wysokiego ryzyka, część będzie podlegać obowiązkom przejrzystości, a systemy o minimalnym ryzyku nie będą objęte szczegółowymi wymogami, choć nadal mogą podlegać innym regulacjom, np. RODO, prawu pracy czy ochronie konsumentów. 

‍

‍

Jakie obowiązki AI Act mogą dotyczyć polskich przedsiębiorców

‍

AI Act obowiązki polskich przedsiębiorców można podzielić na kilka grup. 

‍

Inwentaryzacja narzędzi AI

‍

Po pierwsze, przedsiębiorstwo musi wiedzieć, jakie systemy AI wykorzystuje i do jakich celów. Bez inwentaryzacji narzędzi AI trudno ustalić, czy firma jest jedynie użytkownikiem prostego narzędzia, podmiotem stosującym system wysokiego ryzyka, czy może w praktyce staje się dostawcą, bo modyfikuje rozwiązanie i udostępnia je pod własną marką.

‍

Ocena roli modelu AI

‍

Po drugie, firma powinna ocenić przeznaczenie systemu. W AI Act kluczowe znaczenie ma nie tylko technologia, ale także kontekst użycia. Ten sam model może być neutralnym narzędziem analitycznym w jednym dziale, a systemem wysokiego ryzyka w innym, jeżeli służy np. do oceny kandydatów do pracy, przydzielania zadań pracownikom, oceny zdolności kredytowej osób fizycznych albo wspierania decyzji w sektorze usług podstawowych.

‍

Nadzór, dokumentacja i reakcja na ryzyko

‍

Po trzecie, przedsiębiorstwo musi wdrożyć procedury nadzoru, monitorowania i dokumentowania użycia AI. AI Act wymaga m.in., aby podmioty stosujące systemy wysokiego ryzyka korzystały z nich zgodnie z instrukcją obsługi, powierzały nadzór osobom mającym odpowiednie kompetencje, szkolenie i uprawnienia, a także monitorowały działanie systemu i reagowały na ryzyko lub poważny incydent. 

‍

Kiedy system AI może być uznany za system wysokiego ryzyka?

‍

Systemy AI wysokiego ryzyka to systemy, które mają szczególny wpływ na życie osób fizycznych lub mogą w istotny sposób wpłynąć na społeczeństwo. Obejmuję zwłaszcza następujące obszary: rekrutacja i zatrudnienie, edukacja (np. systemy AI oceniające kompetencje uczniów), opieka zdrowotna, zarządzanie infrastrukturą krytyczną (np. systemy AI wykorzystywane w energetyce czy wodociągach), usługi publiczne (np. systemy przyznające pomoc społeczną), wymiar sprawiedliwości. 

‍

Ważne jest, że klasyfikacja jako system wysokiego ryzyka nie oznacza automatycznego zakazu. Oznacza natomiast konieczność spełnienia odpowiednich wymagań, tak aby system działał zgodnie z przeznaczeniem, był nadzorowany, a ryzyka dla zdrowia, bezpieczeństwa i praw podstawowych były oceniane i ograniczane. 

‍

AI Act compliance - co powinien obejmować program zgodności?

‍

AI Act compliance nie powinien być jednorazowym audytem. To proces obejmujący cały cykl życia systemu AI: od wyboru dostawcy, przez wdrożenie, szkolenie użytkowników, monitorowanie działania, aż po reakcję na incydenty i zmiany w systemie. Całość procesu jest też zależna od roli, jaką posiada przedsiębiorca.

Praktyczny program AI Act compliance może obejmować:

1. rejestr systemów AI używanych w firmie; 
2. ocenę, czy dane narzędzie spełnia definicję systemu AI; 
3. klasyfikację ryzyka; 
4. identyfikację roli firmy: dostawca, podmiot stosujący, importer, dystrybutor lub producent produktu; 
5. analizę umów z dostawcami AI; 
6. procedurę nadzoru człowieka; 
7. politykę korzystania z generatywnej AI; 
8. zasady dokumentowania decyzji i incydentów; 
9. szkolenia dla pracowników; 
10. okresowy przegląd systemów i dostawców. 

Szczególną uwagę trzeba zwrócić na łańcuch dostaw. AI Act przewiduje, że dostawca systemu wysokiego ryzyka oraz osoba trzecia dostarczająca system AI, narzędzia, usługi, komponenty lub procesy wykorzystywane w tym systemie powinni uregulować w pisemnej umowie informacje, dostęp techniczny i pomoc potrzebne do spełnienia obowiązków. 

‍

Jaki wpływ na biznes ma Unijne rozporządzenie AI? 

‍

Dokumentacja AI

‍

Firmy będą musiały wiedzieć, skąd pochodzi system, jakie ma przeznaczenie, kto odpowiada za jego konfigurację, jakie dane wejściowe są używane i kto nadzoruje wyniki.

‍

Współpraca działów

‍

Wzrośnie znaczenie działów prawnych, compliance, IT, HR i bezpieczeństwa. AI przestanie być wyłącznie projektem technologicznym. Wdrożenie systemu AI w rekrutacji, obsłudze klienta, scoringu, marketingu, analizie zachowań użytkowników czy cyberbezpieczeństwie będzie wymagało współpracy kilku funkcji w organizacji.

‍

Umowy z dostawcami

‍

Firmy powinny wymagać od dostawców dodatkowych informacji, ograniczeniach, dokumentacji, instrukcji używania, jakości danych, mechanizmach nadzoru i procedurach zgłaszania incydentów.

‍

Przewaga konkurencyjna

‍

Przedsiębiorstwa, które wcześniej uporządkują zasady korzystania z AI, będą mogły szybciej wdrażać nowe narzędzia, bez zatrzymywania projektów na etapie oceny prawnej i ryzyka.

‍

AI Act wymagania dla firm w 2026 roku

‍

Z uwagi na wspomniane już przesunięcie wejścia w życie części przepisów, dla polskich firm oznacza to na pewno, że rok 2026 powinien być traktowany jako moment operacyjnego przygotowania organizacji, a nie dopiero początek analizy.

‍

Najważniejsze działania na 2026 r. to: stworzenie mapy zastosowań AI, ocena ryzyka, aktualizacja polityk bezpieczeństwa i ochrony danych, przegląd umów z dostawcami, wdrożenie zasad nadzoru człowieka oraz przygotowanie pracowników do odpowiedzialnego korzystania z systemów AI.

‍

Firmy korzystające z modeli AI ogólnego przeznaczenia powinny dodatkowo sprawdzić, czy same nie dokonują modyfikacji lub fine-tuningu modelu w sposób, który zmienia ich rolę w świetle AI Act. 

‍

Jak dostosować firmę do AI Act

‍

Najlepiej zacząć od prostego audytu, który odpowiada na cztery pytania: gdzie używamy AI, do czego jej używamy, kto odpowiada za system i jaki wpływ ma on na ludzi. Sposób zadawania pytań może być inny – w zależności od roli, którą ustalimy.

‍

Następnie warto wdrożyć politykę AI w firmie. Powinna ona wskazywać, jakie narzędzia są dopuszczone, kto może je wdrażać, jakie dane wolno do nich wprowadzać, kiedy wymagany jest przegląd prawny, a kiedy ocena ryzyka etc. W przypadku narzędzi generatywnych polityka powinna obejmować także zasady oznaczania treści, weryfikacji wyników i ochrony tajemnicy przedsiębiorstwa.

‍

Kolejnym krokiem jest przypisanie odpowiedzialności. W małej firmie może to być właściciel, osoba od IT lub zewnętrzny doradca. W większej organizacji potrzebny będzie zespół obejmujący compliance, prawników, IT, cyberbezpieczeństwo, HR i właścicieli procesów biznesowych.

‍

Wdrożenie AI Act w małych firmach

‍

Największym błędem byłoby założenie, że mała firma nie podlega przepisom AI Act, bo nie tworzy własnych modeli AI. Jeżeli korzysta z AI w działalności zawodowej, np. do selekcji kandydatów, oceny klientów, automatyzacji decyzji, generowania treści marketingowych lub analizy danych osobowych, powinna sprawdzić swoje obowiązki.

‍

Mała firma może zacząć od minimalnego zestawu działań: lista narzędzi AI, opis celu użycia, informacja o dostawcy, ocena czy narzędzie dotyczy ludzi lub decyzji o istotnych skutkach, zasady weryfikacji wyników przez człowieka oraz zakaz wprowadzania danych poufnych do niezatwierdzonych narzędzi.

‍

Warto też pamiętać, że AI Act przewiduje środki wspierające innowacje ze szczególnym uwzględnieniem MŚP, w tym startupów. To ważne, ponieważ celem regulacji nie jest zablokowanie rozwoju AI, lecz uporządkowanie jej stosowania tam, gdzie ryzyko jest największe.

‍

Jakie kary przewiduje AI Act dla przedsiębiorstw w Polsce?

‍

Wysokość kar

‍

AI Act przewiduje podejście stopniowane, a wysokość kary zależy od rodzaju naruszenia. Najsurowsze sankcje dotyczą zakazanych praktyk AI – zgodnie z art. 99 ust. 3 AI Act za naruszenie zakazów z art. 5 AI Act dostawcy i podmioty stosujące mogą zostać ukarane do 35 000 000 EUR albo, w przypadku przedsiębiorstwa, do 7% całkowitego światowego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która wartość jest wyższa. 

‍

Kryteria oceny

‍

Przy ustalaniu administracyjnej kary pieniężnej organy mają brać pod uwagę m.in. charakter, wagę i czas trwania naruszenia, jego konsekwencje, liczbę poszkodowanych osób, wielkość operatora, roczny obrót, udział w rynku, stopień współpracy z organami, umyślność lub zaniedbanie oraz działania podjęte w celu ograniczenia szkody. 

‍

Znaczenie compliance

‍

Dla firm oznacza to, że sama procedura compliance może mieć znaczenie praktyczne. Dobrze udokumentowane działania, szkolenia, nadzór i szybka reakcja na incydent mogą pomóc ograniczyć ryzyko regulacyjne.

‍

Zgodność z AI Act krok po kroku - praktyczny przewodnik dla firm

‍

Taki praktyczny przewodnik można sprowadzić do siedmiu kroków:

1. Inwentaryzacja wszystkich narzędzi AI w firmie. 
2. Ustalenie, które systemy wpływają na ludzi, decyzje biznesowe, pracowników, klientów lub bezpieczeństwo, ewentualnie inne strony.
3. Sprawdzenie, czy dany system może być systemem wysokiego ryzyka. 
4. Zweryfikowanie dostawców i umowy oraz rolę Twojej firmy w rozumieniu AI Act.
5. Wprowadzenie zasad nadzoru człowieka i kontroli wyników. 
6. Przeszkolenie pracowników z bezpiecznego korzystania z AI. 
7. Regularna aktualizacja dokumentacji, bo systemy AI, ich zastosowania i wytyczne regulacyjne będą się zmieniać. 

‍

AI Act nie oznacza, że firmy w Polsce mają zrezygnować z AI. Oznacza, że powinny korzystać z niej świadomie, dokumentować decyzje, kontrolować ryzyka i rozumieć własną rolę w łańcuchu odpowiedzialności. Dobrze wdrożone AI Act compliance może być nie tylko obowiązkiem, ale też elementem zaufania klientów, pracowników i partnerów biznesowych.

‍

Potrzebujesz wsparcia przy wdrożeniu AI Act w firmie?

‍

AI Act nie oznacza rezygnacji ze sztucznej inteligencji. Oznacza konieczność uporządkowania zasad jej wykorzystywania, opisania odpowiedzialności i ograniczenia ryzyk prawnych, organizacyjnych oraz biznesowych.

‍

Jeżeli chcesz sprawdzić, czy Twoja firma korzysta z AI zgodnie z nowymi wymogami, skontaktuj się z Lawmore. Pomożemy ustalić, jakie systemy AI wykorzystujesz, jaką rolę pełni Twoja organizacja i jakie działania warto wdrożyć w pierwszej kolejności.

‍

Jeżeli Twoja firma korzysta z narzędzi AI w rekrutacji, obsłudze klienta, analizie danych, marketingu, sprzedaży lub automatyzacji decyzji, warto sprawdzić, jakie obowiązki mogą wynikać z AI Act. Lawmore może pomóc w audycie narzędzi AI, ocenie ryzyka, przygotowaniu polityki AI, analizie umów z dostawcami oraz wdrożeniu procedur zgodności.

‍

FAQ – AI Act dla firm w Polsce

‍

Czy AI Act dotyczy małych firm?

‍

Tak, AI Act może dotyczyć także małych firm, jeżeli korzystają z systemów AI w działalności gospodarczej. Znaczenie ma nie wielkość przedsiębiorstwa, ale rola firmy i sposób wykorzystania konkretnego systemu.

‍

Czy każda firma korzystająca z AI ma takie same obowiązki?

‍

Nie. Obowiązki zależą od tego, czy firma jest dostawcą, podmiotem stosującym, importerem, dystrybutorem lub producentem produktu z komponentem AI, a także od poziomu ryzyka danego systemu.

‍

Od czego zacząć przygotowanie firmy do AI Act?

‍

Najlepiej zacząć od inwentaryzacji narzędzi AI i ustalenia, do czego są wykorzystywane. Następnie trzeba określić rolę firmy, poziom ryzyka systemów oraz potrzebne procedury, umowy i szkolenia.

‍

Czy AI Act zakazuje korzystania ze sztucznej inteligencji?

‍

Nie. AI Act nie zakazuje korzystania z AI jako takiej, ale wprowadza ograniczenia dla praktyk uznanych za niedopuszczalne oraz dodatkowe obowiązki dla systemów wysokiego ryzyka i wybranych zastosowań AI.

‍

Jakie kary przewiduje AI Act dla przedsiębiorstw?

‍

Najwyższe kary dotyczą naruszenia zakazanych praktyk AI. W takim przypadku sankcja może sięgnąć 35 000 000 EUR albo 7% całkowitego światowego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która wartość jest wyższa.

‍

Jak dostosować firmę do AI Act krok po kroku?

‍

Firma powinna spisać narzędzia AI, określić ich zastosowanie, ustalić swoją rolę, ocenić poziom ryzyka, zweryfikować dostawców i umowy, wdrożyć nadzór człowieka oraz przeszkolić pracowników.

‍

Źródła:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act).
2. Komisja Europejska, Guidelines on Prohibited Artificial Intelligence Practices Established by Regulation (EU) 2024/1689 (AI Act).
3. Komisja Europejska, Guidelines on the Scope of the Obligations for General-Purpose AI Models Established by Regulation (EU) 2024/1689 (AI Act).
4. Komisja Europejska, Guide to Prohibited Artificial Intelligence Practices under the AI Act.
5. Komisja Europejska, Guidelines on the Scope of the Obligations for General-Purpose AI Models Established by Regulation (EU) 2024/1689.
6. Komisja Europejska, Commission Guidelines on the Definition of an Artificial Intelligence System Established by Regulation (EU) 2024/1689 (AI Act).
7. Komisja Europejska, Draft Guidelines on the Classification of High-Risk AI Systems under Article 6 of Regulation (EU) 2024/1689 – Annex III.
8. Komisja Europejska, Draft Guidelines on the Classification of High-Risk AI Systems under Article 6 of Regulation (EU) 2024/1689 – Annex I.
9. Komisja Europejska, Draft Guidelines on the Classification of High-Risk AI Systems under Article 6 of Regulation (EU) 2024/1689 – General Principles.

‍

Sztuczna inteligencja nie będzie regulowana w Unii Europejskiej jednolicie dla każdego zastosowania. AI Act opiera się na podejściu opartym na ryzyku. Oznacza to, że zakres obowiązków prawnych zależy przede wszystkim od tego, do czego system AI jest przeznaczony, w jakim kontekście ma być używany oraz jakie skutki może wywoływać dla ludzi, zdrowia, bezpieczeństwa, praw podstawowych lub interesu publicznego. W ocenie obowiązków regulacyjnych i klasyfikacji systemów AI pomocna może być kancelaria prawna Warszawa, szczególnie gdy firma wdraża lub wykorzystuje rozwiązania sztucznej inteligencji w swojej działalności.

‍

Dlatego klasyfikacja ryzyka z AI Act jest jednym z pierwszych etapów wdrożenia zgodności z nowymi przepisami. Firma, która korzysta z narzędzi AI, tworzy je, wdraża u klientów albo integruje z własnymi produktami, powinna ustalić, do której kategorii ryzyka należy dany system. Dopiero później można prawidłowo ocenić, jakie obowiązki wynikają z AI Act.

‍

Dlaczego klasyfikacja systemu AI ma znaczenie

‍

AI Act nie zakłada, że każdy system sztucznej inteligencji jest tak samo niebezpieczny. Inaczej należy oceniać prosty chatbot informacyjny o usługach firmy, inaczej system wspierający rekrutację, a jeszcze inaczej system wykorzystywany w wyrobach medycznych.

‍

W praktyce AI Act kategorie ryzyka pełnią funkcję mapy regulacyjnej. Pozwalają ustalić, czy dany system AI:

• jest zakazany,
• jest systemem wysokiego ryzyka,
• podlega szczególnym obowiązkom przejrzystości,
• nie jest objęty istotnymi obowiązkami AI Act, choć nadal może podlegać innym przepisom, na przykład RODO, prawu pracy, przepisom konsumenckim lub zasadom odpowiedzialności cywilnej.

‍

To istotne, ponieważ błędna kwalifikacja systemu AI może prowadzić do nieprawidłowego wdrożenia AI Act compliance. W wielu organizacjach najważniejszym problemem nie będzie samo korzystanie z AI, lecz brak wiedzy, czy wykorzystywane narzędzie powinno zostać potraktowane jako system wysokiego ryzyka.

‍

AI Act kategorie ryzyka - podstawowy podział

‍

W uproszczeniu AI Act przewiduje cztery główne poziomy ryzyka.

‍

Pierwsza kategoria to ryzyko niedopuszczalne. Obejmuje praktyki zakazane, czyli takie zastosowania AI, które ustawodawca unijny uznał za sprzeczne z wartościami Unii, prawami podstawowymi lub bezpieczeństwem osób. Chodzi m.in. o określone formy manipulacji, wykorzystywanie podatności osób, niektóre formy scoringu społecznego, zakazane przypadki kategoryzacji biometrycznej czy niektóre zastosowania zdalnej identyfikacji biometrycznej w czasie rzeczywistym.

‍

Druga kategoria to systemy AI wysokiego ryzyka. Nie są one co do zasady zakazane, ale podlegają rozbudowanym obowiązkom regulacyjnym. To najważniejsza kategoria z perspektywy przedsiębiorców, administracji publicznej i dostawców technologii.

‍

Trzecia kategoria obejmuje systemy, które powodują ryzyko związane z przejrzystością. W takich przypadkach AI Act może wymagać poinformowania użytkownika, że ma kontakt z systemem AI albo że dana treść została wygenerowana lub zmanipulowana przez AI.

‍

Czwarta kategoria to systemy minimalnego ryzyka. AI Act nie nakłada na nie rozbudowanych obowiązków, choć w praktyce nadal mogą być objęte innymi przepisami, standardami kontraktowymi, wymogami bezpieczeństwa, ochroną danych lub wewnętrznymi zasadami governance.

‍

Systemy AI wysokiego ryzyka - kiedy występują

‍

Systemy AI wysokiego ryzyka są centralnym elementem AI Act. Ich klasyfikacja wynika przede wszystkim z art. 6 AI Act oraz załączników I i III.

‍

Pierwsza grupa obejmuje systemy AI, które są produktem lub elementem bezpieczeństwa produktu objętego określonym unijnym prawodawstwem harmonizacyjnym. Może to dotyczyć m.in. maszyn, wyrobów medycznych, zabawek, wind, urządzeń radiowych, środków transportu lub innych produktów wymienionych w odpowiednich przepisach sektorowych. Nie każdy produkt z komponentem AI będzie automatycznie systemem wysokiego ryzyka. Istotne jest m.in. to, czy system AI pełni funkcję bezpieczeństwa oraz czy produkt wymaga oceny zgodności z udziałem strony trzeciej.

‍

Druga grupa obejmuje samodzielne systemy AI wskazane w załączniku III AI Act. Są to zastosowania uznane za szczególnie wrażliwe z punktu widzenia praw podstawowych, bezpieczeństwa lub sytuacji życiowej osób fizycznych. Przykładowo mogą dotyczyć biometrii, infrastruktury krytycznej, edukacji, zatrudnienia, dostępu do podstawowych usług, egzekwowania prawa, migracji, kontroli granicznej, wymiaru sprawiedliwości oraz procesów demokratycznych.

‍

Ważne jest, że samo użycie AI w obszarze wymienionym w załączniku III nie zawsze oznacza automatycznie system wysokiego ryzyka. 

‍

Przeznaczenie systemu AI jako punkt wyjścia

‍

Dla klasyfikacji systemu AI kluczowe jest jego przeznaczenie. Należy ustalić, do czego system jest przeznaczony przez dostawcę, w jakim kontekście ma działać, jakie decyzje lub rekomendacje ma wspierać oraz jakie kategorie użytkowników lub osób mogą być dotknięte jego działaniem.

‍

Nie wystarczy nazwać narzędzia „asystentem”, „chatbotem” albo „systemem analitycznym”. Ten sam model lub podobna technologia może mieć różną kwalifikację prawną w zależności od zastosowania. Chatbot odpowiadający na ogólne pytania klientów może generować głównie obowiązki przejrzystości. System oceniający kandydatów do pracy, nadający im ranking lub rekomendujący odrzucenie aplikacji może już wchodzić w kategorię systemów wysokiego ryzyka.

‍

Dlatego w ramach AI Act compliance trzeba dokumentować nie tylko samą technologię, ale również jej funkcję biznesową, kontekst użycia, grupę użytkowników, dane wejściowe, rodzaj wyniku oraz wpływ wyniku na decyzje człowieka.

‍

Przykłady obszarów wysokiego ryzyka

‍

W praktyce systemy AI wysokiego ryzyka mogą wystąpić m.in. w następujących popularnych obszarach:

• Biometria - np. zdalna identyfikacja biometryczna, kategoryzacja biometryczna lub rozpoznawanie emocji, o ile dane zastosowanie nie jest zakazane i mieści się w zakresie systemów wysokiego ryzyka.
• Infrastruktura krytyczna - np. systemy wpływające na zarządzanie ruchem drogowym, dostawy wody, gazu, energii elektrycznej, ogrzewania lub funkcjonowanie krytycznej infrastruktury cyfrowej.
• Edukacja i szkolenie zawodowe - np. systemy oceniające wyniki nauczania, przydzielające osoby do instytucji edukacyjnych albo wpływające na dostęp do określonego poziomu kształcenia.
• Zatrudnienie i zarządzanie pracownikami - np. narzędzia do selekcji kandydatów, oceny CV, rankingowania aplikacji, podejmowania decyzji o awansie, monitorowania pracy lub oceny wydajności.
• Podstawowe usługi prywatne i publiczne - np. systemy oceny zdolności kredytowej osób fizycznych, oceny prawa do świadczeń publicznych lub ryzyka w ubezpieczeniach zdrowotnych i na życie.
• Egzekwowanie prawa, migracja i wymiar sprawiedliwości - np. systemy wspierające ocenę ryzyka, analizę dowodów, rozpatrywanie wniosków wizowych lub azylowych, a także narzędzia wspierające organy sądowe.

‍

‍

Czy człowiek w procesie wyłącza wysokie ryzyko

‍

Nie. Sam fakt, że człowiek zatwierdza decyzję albo ma możliwość nadzoru, nie oznacza, że system przestaje być systemem wysokiego ryzyka. Nadzór człowieka jest jednym z wymogów zgodności dla systemów wysokiego ryzyka, ale nie jest prostym sposobem na uniknięcie kwalifikacji.

‍

Jeżeli przeznaczenie systemu obejmuje przypadek użycia wymieniony w załączniku III, a system wpływa na decyzję dotyczącą osoby, to udział człowieka nie zmienia automatycznie klasyfikacji. Inaczej mówiąc, regulacje AI ryzyko oceniają przez funkcję i wpływ systemu, a nie wyłącznie przez formalne pozostawienie człowieka „w pętli”.

‍

Mechanizm wyłączenia z wysokiego ryzyka

‍

AI Act przewiduje tzw. mechanizm filtrujący dla niektórych systemów z załącznika III. System może nie zostać uznany za wysokiego ryzyka, jeżeli spełnia warunki wskazane w AI Act, np. wykonuje wąskie zadanie proceduralne, poprawia wynik wcześniej zakończonej czynności człowieka, wykrywa wzorce decyzyjne bez zastępowania oceny człowieka albo wykonuje zadanie przygotowawcze.

‍

Ten mechanizm trzeba jednak stosować ostrożnie. Nie będzie on dostępny, jeżeli system dokonuje profilowania w rozumieniu przepisów o ochronie danych osobowych. Nie powinien być też traktowany jako sposób formalnego obchodzenia przepisów przez rozbicie jednego systemu na kilka modułów.

‍

Systemy objęte obowiązkami przejrzystości

‍

Niektóre systemy AI nie będą systemami wysokiego ryzyka, ale nadal będą podlegały obowiązkom przejrzystości. Dotyczy to m.in. sytuacji, w których użytkownik wchodzi w interakcję z systemem AI, a także określonych przypadków generowania treści syntetycznych, deepfake’ów lub treści tekstowych publikowanych w celu informowania opinii publicznej o sprawach interesu publicznego.

‍

W takich przypadkach przedsiębiorca powinien ustalić, czy musi poinformować użytkownika o korzystaniu z AI, oznaczyć treść jako wygenerowaną przez AI albo zapewnić inne środki transparentności.

‍

Jak przeprowadzić klasyfikację ryzyka AI Act w firmie

‍

Prawidłowa klasyfikacja ryzyka AI Act powinna obejmować kilka etapów.

‍

Po pierwsze, trzeba ustalić, czy dane rozwiązanie w ogóle jest systemem AI w rozumieniu AI Act. Nie każde oprogramowanie i nie każda automatyzacja będą systemem AI.

‍

Po drugie, należy ustalić rolę organizacji. Inne obowiązki mogą dotyczyć dostawcy, inne importera, dystrybutora, podmiotu stosującego, producenta produktu etc.

‍

Po trzecie, trzeba opisać przeznaczenie systemu. W praktyce należy przeanalizować dokumentację techniczną, instrukcje używania, materiały sprzedażowe, komunikację marketingową, funkcje narzędzia i realny kontekst wdrożenia.

‍

Po czwarte, należy sprawdzić, czy system nie wchodzi w zakres praktyk zakazanych. Ten etap powinien poprzedzać analizę wysokiego ryzyka.

‍

Po piąte, trzeba ocenić, czy system jest objęty art. 6 AI Act i załącznikiem I albo III. Jeżeli tak, należy ustalić, czy możliwy jest mechanizm wyłączenia z klasyfikacji wysokiego ryzyka.

‍

Po szóste, należy sprawdzić, czy system podlega obowiązkom przejrzystości, nawet jeżeli nie jest systemem wysokiego ryzyka.

‍

Po siódme, wynik analizy powinien zostać udokumentowany. W AI Act compliance dokumentacja procesu decyzyjnego jest równie ważna jak sama konkluzja. Przy projektach obejmujących wdrożenie, integrację lub komercjalizację systemów AI znaczenie może mieć również obsługa prawna projektów AI.

‍

Co oznacza klasyfikacja dla dostawców i podmiotów stosujących

‍

Dla dostawców klasyfikacja wpływa na projektowanie systemu, dokumentację techniczną, zarządzanie ryzykiem, jakość danych, nadzór człowieka, dokładność, cyberbezpieczeństwo, rejestrowanie zdarzeń, ocenę zgodności i obowiązki po wprowadzeniu systemu na rynek.

‍

Dla podmiotów stosujących klasyfikacja ma znaczenie przy wyborze narzędzia, negocjowaniu umowy, ocenie dostawcy, kontroli instrukcji używania, wdrożeniu nadzoru człowieka, prowadzeniu rejestrów, informowaniu osób i organizacji procesu korzystania z AI.

‍

W praktyce nie wystarczy zapytać dostawcy, czy jego system jest zgodny z AI Act. Firma powinna rozumieć, do czego sama używa systemu, ponieważ zmiana sposobu użycia może zmienić kwalifikację prawną. System kupiony jako narzędzie ogólne może stać się systemem wysokiego ryzyka, jeżeli zostanie wdrożony do zastosowania wskazanego w AI Act.

‍

Podsumowanie

‍

AI Act nie reguluje sztucznej inteligencji według jednej, prostej zasady. Kluczowe znaczenie ma klasyfikacja ryzyka systemu AI. To od niej zależy, czy dane rozwiązanie jest zakazane, czy stanowi system wysokiego ryzyka, czy podlega obowiązkom przejrzystości, czy też pozostaje w kategorii minimalnego ryzyka.

‍

Dla przedsiębiorców oznacza to konieczność uporządkowania portfela narzędzi AI. Pierwszym krokiem nie powinno być tworzenie ogólnej polityki AI, lecz identyfikacja konkretnych systemów, opisanie ich przeznaczenia i przeprowadzenie kwalifikacji prawnej. Dopiero na tej podstawie można ustalić wymogi AI Act, obowiązki dostawców i podmiotów stosujących oraz zakres realnego AI Act compliance.

‍

Klasyfikacja ryzyka z AI Act nie jest formalnością. Jest punktem wyjścia do całego procesu zgodności z regulacjami dotyczącymi sztucznej inteligencji.

‍

AI Act to unijne rozporządzenie, które wprowadza nowe zasady dotyczące projektowania, wdrażania i wykorzystywania systemów sztucznej inteligencji. Dla przedsiębiorców oznacza to konieczność uporządkowania sposobu korzystania z AI w organizacji. AI Act dla firm nie powinien być traktowany wyłącznie jako obowiązek prawny, ale także jako element zarządzania ryzykiem technologicznym. W analizie obowiązków związanych z AI Act pomocna może być kancelaria prawna Warszawa, szczególnie gdy firma wdraża lub wykorzystuje systemy sztucznej inteligencji w swojej działalności.

‍

Audyt narzędzi AI używanych w firmie

‍

Pierwszym krokiem powinien być audyt narzędzi AI używanych w firmie. Należy ustalić, czy dane rozwiązanie jest systemem AI w rozumieniu AI Act, kto jest jego dostawcą, kto go stosuje oraz w jakim celu jest wykorzystywany. Dopiero na tej podstawie można ocenić, jakie wymagania AI Act mają zastosowanie do konkretnego przypadku. W takiej analizie wsparciem może być także prawnik AI, jeżeli firma potrzebuje oceny prawnej konkretnego narzędzia lub procesu opartego na sztucznej inteligencji.

‍

Klasyfikacja ryzyka systemów AI

‍

Drugim etapem jest klasyfikacja ryzyka. Przepisy AI Act przewidują różne poziomy obowiązków w zależności od rodzaju systemu AI. Największe znaczenie mają systemy zakazane, systemy wysokiego ryzyka, systemy objęte obowiązkami przejrzystości oraz modele ogólnego zastosowania. W praktyce firma powinna sprawdzić, czy AI jest używana w obszarach takich jak rekrutacja, ocena pracowników, edukacja, usługi finansowe, infrastruktura krytyczna, biometria lub dostęp do usług publicznych.

‍

Dokumentacja i procedury wymagane przez AI Act

‍

Trzecim krokiem jest przygotowanie dokumentacji. Wdrożenie AI Act wymaga opisania celu użycia systemu, zasad nadzoru człowieka, źródeł danych, ryzyk, środków kontroli oraz procedur reagowania na błędy i incydenty. W przypadku systemów wysokiego ryzyka obowiązki będą znacznie szersze i mogą obejmować między innymi system zarządzania ryzykiem, dokumentację techniczną, rejestrowanie zdarzeń, nadzór człowieka oraz ocenę zgodności.

‍

AI Act compliance w relacjach z dostawcami

‍

Czwartym elementem jest AI Act compliance w relacjach z dostawcami. Firma powinna zweryfikować umowy z podmiotami dostarczającymi narzędzia AI, w tym zakres odpowiedzialności, instrukcje używania systemu, dostęp do dokumentacji, zasady aktualizacji oraz obowiązki informacyjne. Sam fakt zakupu narzędzia AI od zewnętrznego dostawcy nie zwalnia firmy z obowiązków, jeżeli wykorzystuje ona system we własnej działalności. Przy bardziej złożonych wdrożeniach znaczenie może mieć również obsługa prawna projektów AI, obejmująca analizę ryzyk, dokumentacji i relacji z dostawcami technologii.

‍

Szkolenia pracowników z zasad korzystania z AI

‍

Ostatnim etapem jest przeszkolenie pracowników. AI Act wymaga rozwijania kompetencji w zakresie AI, dlatego osoby korzystające z systemów AI powinny rozumieć ich ograniczenia, ryzyka oraz zasady prawidłowego użycia. Dotyczy to nie tylko działów IT, ale także HR, marketingu, sprzedaży, compliance, prawnego i zarządu.

‍

AI Act compliance jako element zarządzania ryzykiem

‍

Przygotowanie firmy na AI Act powinno obejmować audyt, klasyfikację ryzyka, dokumentację, procedury, umowy z dostawcami oraz szkolenia. Im wcześniej organizacja rozpocznie AI Act compliance, tym łatwiej ograniczy ryzyko regulacyjne, kontraktowe i reputacyjne związane z wykorzystaniem sztucznej inteligencji.

‍

Więcej na ten temat znajdziecie w tym artykule: AI Act compliance checklista dla firm.

‍

AI Act a rola dostawcy systemu AI

‍

AI Act to unijne rozporządzenie, które wprowadza horyzontalne zasady dotyczące sztucznej inteligencji. Z perspektywy przedsiębiorców jednym z kluczowych zagadnień jest ustalenie, czy dana firma występuje jako dostawca systemu AI podlegającym pod to rozporządzenie. W ocenie obowiązków regulacyjnych pomocna może być kancelaria prawna Warszawa, zwłaszcza gdy projekt AI wymaga analizy prawnej, technicznej i organizacyjnej.

‍

Nie chodzi wyłącznie o podmiot, który samodzielnie programuje system od podstaw. Dostawcą może być również podmiot, który zleca opracowanie systemu AI, a następnie wprowadza go do obrotu lub oddaje do użytku pod własną nazwą lub znakiem towarowym. W praktyce oznacza to, że obowiązki dostawców AI mogą dotyczyć nie tylko firm technologicznych, ale także przedsiębiorców wdrażających rozwiązania AI jako element własnego produktu lub usługi.

‍

Dla firm kluczowe jest więc nie samo pytanie, czy używają sztucznej inteligencji, lecz pytanie, jaką pełnią rolę w łańcuchu wartości AI. Inne obowiązki będzie miał dostawca systemu AI wysokiego ryzyka, inne importer, dystrybutor, podmiot stosujący, a jeszcze inne dostawca modelu AI ogólnego przeznaczenia.

‍

Dlaczego status dostawcy ma znaczenie

‍

Status dostawcy ma zasadnicze znaczenie dla AI Act compliance. To dostawca odpowiada za wiele obowiązków, które muszą zostać spełnione jeszcze przed wprowadzeniem systemu AI na rynek albo przed oddaniem go do użytku.

‍

W przypadku systemów AI wysokiego ryzyka ciężar regulacyjny spoczywa przede wszystkim na dostawcy. To on powinien zapewnić zgodność systemu z wymaganiami AI Act, przygotować dokumentację techniczną, przeprowadzić odpowiednią procedurę oceny zgodności, zapewnić system zarządzania ryzykiem, wdrożyć system zarządzania jakością oraz prowadzić monitorowanie po wprowadzeniu systemu na rynek.

‍

Regulacje AI dostawcy traktują jako podmiot odpowiedzialny za projekt, przeznaczenie i warunki działania systemu. Z tego powodu nie wystarczy ograniczyć się do oceny własnej i deklaracji, że narzędzie jest „bezpieczne” albo „zgodne z prawem”. AI Act wymaga wykazania zgodności w sposób udokumentowany.

‍

Pierwszy krok - czy rozwiązanie jest systemem AI

‍

Przed analizą obowiązków należy ustalić, czy dane rozwiązanie spełnia definicję systemu AI. AI Act nie obejmuje każdego oprogramowania. System AI według tego rozporządzenia to system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który może wykazywać zdolność adaptacji po wdrożeniu i który, dla wyraźnych lub dorozumianych celów, wnioskuje na podstawie otrzymanych danych wejściowych, jak generować wyniki, takie jak predykcje, treści, zalecenia lub decyzje mogące wpływać na środowisko fizyczne lub wirtualne.

‍

W praktyce analiza powinna obejmować między innymi:

• sposób działania systemu;
• poziom autonomii;
• rodzaj danych wejściowych;
• rodzaj generowanych wyników;
• przeznaczenie systemu;
• wpływ wyników systemu na użytkowników, klientów, pracowników lub inne osoby fizyczne.

‍

Nie każde narzędzie automatyzujące proces biznesowy będzie systemem AI. Jednocześnie wiele systemów wykorzystujących uczenie maszynowe, modele predykcyjne, systemy rekomendacyjne lub generatywną AI będzie wymagało dalszej analizy pod kątem AI Act.

‍

Drugi krok - klasyfikacja ryzyka

‍

AI Act opiera się na podejściu opartym na ryzyku. Oznacza to, że zakres obowiązków zależy przede wszystkim od kategorii systemu AI.

‍

Z perspektywy dostawcy najważniejsze kategorie to:

• systemy AI objęte zakazanymi praktykami;
• systemy AI wysokiego ryzyka;
• systemy AI podlegające obowiązkowi przejrzystości (art. 50 AI Act);
• modele AI ogólnego przeznaczenia.

‍

Największe znaczenie praktyczne mają systemy AI wysokiego ryzyka. To właśnie w ich przypadku wymogi AI Act są najbardziej rozbudowane i wymagają realnego wdrożenia procesów compliance, technicznych zabezpieczeń oraz dokumentacji.

‍

Więcej o tym znajdziesz w tym artykule:  AI Act - klasyfikacja ryzyka systemów AI

‍

Obowiązki dostawcy systemu AI wysokiego ryzyka

Dostawca systemu AI wysokiego ryzyka musi zapewnić, aby system spełniał wymagania określone w AI Act. Nie jest to pojedynczy obowiązek, ale cały pakiet wymogów obejmujących cykl życia systemu.

‍

Do najważniejszych obowiązków dostawcy należą:

System zarządzania ryzykiem

‍

Dostawca powinien ustanowić, wdrożyć, dokumentować i utrzymywać system zarządzania ryzykiem. Taki system powinien obejmować identyfikację, analizę, ocenę i ograniczanie ryzyk związanych z systemem AI.

‍

W praktyce oznacza to konieczność odpowiedzi na pytania:

• jakie szkody może wywołać system;
• kto może być dotknięty jego działaniem;
• jakie błędy są racjonalnie przewidywalne;
• jakie środki ograniczające ryzyko zostały wdrożone;
• jak ryzyka będą monitorowane po wdrożeniu.

‍

System zarządzania ryzykiem nie powinien być dokumentem tworzonym wyłącznie na potrzeby audytu. Powinien być częścią rzeczywistego procesu projektowania, testowania i utrzymywania systemu AI.

‍

Jakość danych i zarządzanie danymi

‍

Jeżeli system AI wysokiego ryzyka jest trenowany, walidowany lub testowany z wykorzystaniem danych, dostawca musi zadbać o odpowiednie praktyki zarządzania danymi. Obejmuje to między innymi adekwatność, reprezentatywność, kompletność i odpowiednią jakość danych.

‍

Ten obowiązek ma szczególne znaczenie w systemach stosowanych w rekrutacji, edukacji, kredytowaniu, ubezpieczeniach, ochronie zdrowia lub dostępie do usług publicznych. Wadliwe dane mogą prowadzić do dyskryminacji, błędnych decyzji lub naruszenia praw podstawowych.

‍

Dokumentacja techniczna

‍

Dostawca powinien sporządzić dokumentację techniczną przed wprowadzeniem systemu do obrotu lub oddaniem go do użytku. Dokumentacja ma wykazywać, że system spełnia wymogi AI Act i przepisy dotyczące systemów wysokiego ryzyka.

‍

Dokumentacja techniczna powinna opisywać między innymi:

• ogólne cechy systemu;
• jego przeznaczenie;
• architekturę i sposób działania;
• dane wykorzystywane w procesie trenowania, walidacji i testowania;
• mechanizmy nadzoru człowieka;
• środki zarządzania ryzykiem;
• cyberbezpieczeństwo;
• testy i walidację;
• monitorowanie po wprowadzeniu do obrotu.

‍

Brak dokumentacji technicznej może być jednym z najpoważniejszych problemów w razie kontroli organu nadzoru lub sporu z klientem. Na tym etapie przydatny może być także prawnik AI, jeżeli firma potrzebuje oceny obowiązków związanych z wdrożeniem lub rozwojem systemu sztucznej inteligencji.

‍

Rejestrowanie zdarzeń

‍

System AI wysokiego ryzyka powinien umożliwiać automatyczne rejestrowanie zdarzeń, czyli logowanie działania systemu. Celem jest zapewnienie identyfikowalności działania systemu, ułatwienie nadzoru i umożliwienie analizy incydentów.

‍

Logi mogą mieć kluczowe znaczenie, gdy trzeba ustalić, dlaczego system wygenerował określoną rekomendację, decyzję lub wynik. Z perspektywy dostawcy jest to także element ochrony dowodowej.

‍

Przejrzystość i instrukcje używania

‍

Dostawca musi przygotować instrukcje używania systemu. Powinny być one jasne, kompletne i zrozumiałe dla podmiotu stosującego system AI.

‍

Instrukcje powinny obejmować między innymi:

• przeznaczenie systemu;
• warunki prawidłowego używania;
• ograniczenia systemu;
• przewidywalne ryzyka;
• wymagania dotyczące danych wejściowych;
• informacje o wynikach działania systemu;
• środki nadzoru człowieka;
• parametry dokładności, odporności i cyberbezpieczeństwa.

‍

To szczególnie ważne, ponieważ błędne opisanie przeznaczenia systemu może prowadzić do błędnej klasyfikacji ryzyka. Jeżeli materiały sprzedażowe, instrukcje lub dokumentacja sugerują zastosowanie w obszarze wysokiego ryzyka, system może zostać zakwalifikowany jako system wysokiego ryzyka.

‍

Nadzór człowieka

‍

Dostawca powinien zaprojektować system AI wysokiego ryzyka w taki sposób, aby możliwy był skuteczny nadzór człowieka. Nie chodzi o pozorną obecność człowieka w procesie, ale o realną możliwość zrozumienia, monitorowania i - w razie potrzeby - przerwania lub zakwestionowania działania systemu.

‍

Nadzór człowieka powinien być adekwatny do ryzyka, przeznaczenia systemu i potencjalnego wpływu na osoby fizyczne.

‍

Dokładność, odporność i cyberbezpieczeństwo

‍

Wymogi AI Act obejmują również zapewnienie odpowiedniego poziomu dokładności, odporności i cyberbezpieczeństwa. Dostawca powinien określić parametry działania systemu oraz monitorować, czy system utrzymuje wymagany poziom jakości w czasie.

‍

W praktyce oznacza to konieczność testowania systemu nie tylko przed wdrożeniem, ale także po jego aktualizacjach, zmianach danych, zmianach środowiska operacyjnego lub zmianach sposobu używania systemu.

‍

System zarządzania jakością

‍

Dostawca systemu AI wysokiego ryzyka powinien wdrożyć system zarządzania jakością. Taki system powinien obejmować procedury, zasady i odpowiedzialności wewnętrzne dotyczące zgodności z AI Act.

‍

System zarządzania jakością powinien regulować między innymi:

• strategię zgodności z AI Act;
• projektowanie i rozwój systemu;
• testowanie i walidację;
• zarządzanie danymi;
• zarządzanie ryzykiem;
• kontrolę zmian;
• dokumentację;
• monitorowanie po wprowadzeniu na rynek;
• zgłaszanie incydentów;
• komunikację z organami nadzoru.

‍

Dla wielu firm będzie to jeden z najważniejszych elementów AI Act compliance.

‍

Ocena zgodności i oznakowanie CE

‍

Przed wprowadzeniem systemu AI wysokiego ryzyka do obrotu lub oddaniem go do użytku dostawca musi przeprowadzić właściwą procedurę oceny zgodności. W zależności od rodzaju systemu może to być ocena wewnętrzna albo procedura z udziałem jednostki notyfikowanej.

‍

Po pozytywnej ocenie zgodności dostawca powinien sporządzić deklarację zgodności UE i - tam, gdzie ma to zastosowanie - umieścić oznakowanie CE.

‍

Rejestracja w unijnej bazie danych

‍

Niektóre systemy AI wysokiego ryzyka wymagają rejestracji przed ich wprowadzeniem do obrotu lub oddaniem do użytku. Dotyczy to przede wszystkim systemów wysokiego ryzyka wskazanych w załączniku III AI Act, z zastrzeżeniem wyjątków, w tym systemów z załącznika III pkt 2, które podlegają rejestracji na poziomie krajowym.

‍

Rejestracja ma zwiększać przejrzystość i identyfikowalność systemów AI wysokiego ryzyka oraz ułatwiać nadzór nad ich zgodnością z AI Act. W określonych przypadkach informacje w bazie danych UE są publicznie dostępne, natomiast część rejestracji, zwłaszcza w obszarach ścigania przestępstw, migracji, azylu i kontroli granic, trafia do bezpiecznej, niepublicznej sekcji bazy.

‍

Monitorowanie po wprowadzeniu na rynek

‍

Obowiązki dostawcy nie kończą się w chwili sprzedaży lub wdrożenia systemu. Dostawca powinien prowadzić monitorowanie po wprowadzeniu systemu na rynek. Celem jest zbieranie informacji o działaniu systemu w rzeczywistych warunkach i reagowanie na nowe ryzyka.

‍

Monitorowanie po wprowadzeniu na rynek powinno obejmować między innymi analizę skarg, błędów, incydentów, zmian parametrów działania oraz informacji od podmiotów stosujących system.

‍

Zgłaszanie poważnych incydentów

‍

Dostawcy systemów AI wysokiego ryzyka mają obowiązki związane ze zgłaszaniem poważnych incydentów właściwym organom nadzoru rynku. Poważny incydent może obejmować między innymi śmierć osoby, poważną szkodę dla zdrowia, poważne i nieodwracalne zakłócenie infrastruktury krytycznej, naruszenie obowiązków prawa UE chroniących prawa podstawowe albo poważną szkodę dla mienia lub środowiska.

‍

Ten obowiązek wymaga posiadania procedury wewnętrznej. Firma powinna wiedzieć, kto identyfikuje incydent, kto ocenia jego kwalifikację, kto kontaktuje się z organem oraz jakie dane należy zabezpieczyć.

‍

Obowiązki dostawców z art. 50 AI Act

‍

Odrębne znaczenie mają obowiązki dostawców wynikające z art. 50 AI Act. Nie dotyczą one wyłącznie systemów AI wysokiego ryzyka, ale są odrębną kategorią AI Act. Są to obowiązki przejrzystości, które mogą obejmować także systemy niższego ryzyka, w szczególności chatboty, wirtualnych asystentów oraz systemy generujące treści syntetyczne.

‍

Po pierwsze, dostawcy systemów AI przeznaczonych do bezpośredniej interakcji z osobami fizycznymi muszą zapewnić, aby system był zaprojektowany i opracowany w taki sposób, że dana osoba zostanie poinformowana, iż wchodzi w interakcję z systemem AI. Obowiązek ten nie będzie miał zastosowania, jeżeli z okoliczności i kontekstu użycia jest to oczywiste dla osoby fizycznej należycie poinformowanej, uważnej i rozsądnej.

‍

Po drugie, dostawcy systemów AI, w tym systemów AI ogólnego przeznaczenia, które generują syntetyczne treści audio, obrazy, wideo lub tekst, muszą zapewnić, aby wyniki działania systemu były oznaczone w formacie nadającym się do odczytu maszynowego oraz wykrywalne jako sztucznie wygenerowane lub zmanipulowane.

‍

Trzeba odróżnić obowiązki dostawców od obowiązków podmiotów stosujących. Dostawca ma przede wszystkim zaprojektować system i jego funkcjonalności tak, aby umożliwić przejrzystość i wykrywalność treści. Podmiot stosujący może mieć natomiast własne obowiązki ujawniania, na przykład przy publikacji deepfake'ów lub tekstów wygenerowanych przez AI w celu informowania społeczeństwa o sprawach leżących w interesie publicznym.

‍

Obowiązki dostawców AI wynikające z art. 50 AI Act powinny być traktowane jako osobna część wdrożenia AI Act, obok klasyfikacji ryzyka, obowiązków dla systemów wysokiego ryzyka i obowiązków dotyczących modeli AI ogólnego przeznaczenia.

‍

Dostawcy modeli AI ogólnego przeznaczenia

‍

Odrębną kategorię stanowią dostawcy modeli AI ogólnego przeznaczenia, czyli modeli, które mogą być wykorzystywane w wielu różnych zastosowaniach. Obowiązki takich dostawców różnią się od obowiązków dostawców klasycznych systemów AI.

‍

W zależności od rodzaju modelu dostawca może być zobowiązany między innymi do:

• sporządzenia i aktualizowania dokumentacji technicznej modelu;
• udostępniania informacji dostawcom systemów AI, którzy integrują model w swoich rozwiązaniach;
• wdrożenia polityki zgodności z prawem autorskim UE;
• publikowania odpowiedniego streszczenia treści wykorzystanych do trenowania modelu.

‍

Jeżeli model AI ogólnego przeznaczenia zostanie uznany za model stwarzający ryzyko systemowe, obowiązki są dalej idące. Mogą obejmować ocenę modelu, ograniczanie ryzyk systemowych, dokumentowanie poważnych incydentów i zgłaszanie ich do właściwych organów.

‍

Kiedy dystrybutor, importer lub użytkownik może stać się dostawcą

‍

AI Act przewiduje sytuacje, w których inny podmiot może zostać potraktowany jak dostawca systemu AI wysokiego ryzyka. Może to dotyczyć między innymi dystrybutora, importera, podmiotu stosującego lub innej osoby trzeciej.

‍

Taki skutek może powstać w szczególności, gdy podmiot:

• umieszcza własną nazwę lub znak towarowy na systemie AI wysokiego ryzyka;
• dokonuje istotnej zmiany systemu AI wysokiego ryzyka;
• zmienia przeznaczenie systemu w taki sposób, że system staje się systemem wysokiego ryzyka.

‍

To istotne dla firm, które kupują gotowe rozwiązania AI, a następnie oferują je klientom pod własną marką albo modyfikują ich funkcje. W takim scenariuszu firma może przejąć część obowiązków typowych dla dostawcy.

‍

AI Act compliance jako proces, a nie jednorazowy dokument

‍

AI Act compliance nie powinien być traktowany jako jednorazowe przygotowanie polityki AI. W przypadku dostawców systemów AI zgodność wymaga procesu obejmującego projektowanie, rozwój, testowanie, wdrożenie, monitorowanie, aktualizacje i reagowanie na incydenty.

‍

W praktyce wdrożenie powinno obejmować co najmniej:

• mapowanie systemów AI;
• ustalenie roli firmy w łańcuchu wartości AI;
• klasyfikację ryzyka;
• analizę przeznaczenia systemu;
• analizę danych;
• ocenę obowiązków technicznych;
• przygotowanie dokumentacji;
• wdrożenie procedur zarządzania ryzykiem;
• wdrożenie procedur nadzoru człowieka;
• przygotowanie procesu obsługi incydentów;
• aktualizację umów z klientami, dostawcami i integratorami.

‍

Dobrze przygotowana firma powinna być w stanie wykazać, dlaczego zakwalifikowała system do określonej kategorii ryzyka i jakie środki wdrożyła, aby spełnić wymogi AI Act. Przy projektach obejmujących wdrożenie, rozwój lub komercjalizację systemów AI istotna może być również obsługa prawna projektów AI.

‍

Najczęstsze błędy dostawców systemów AI

‍

W praktyce największe ryzyka prawne wynikają zwykle nie z samego używania AI, lecz z braku uporządkowanego procesu zgodności.

‍

Do najczęstszych błędów należą:

• brak ustalenia, czy rozwiązanie spełnia definicję systemu AI;
• brak określenia przeznaczenia systemu;
• zbyt ogólne materiały marketingowe sugerujące szerokie zastosowania, także w obszarach wysokiego ryzyka;
• brak dokumentacji technicznej;
• brak procedury zarządzania ryzykiem;
• brak testów jakości danych;
• pozorny nadzór człowieka;
• brak procedury zgłaszania incydentów;
• nieuwzględnienie AI Act w umowach z klientami i partnerami technologicznymi;
• traktowanie zgodności z AI Act wyłącznie jako zadania działu prawnego.

‍

Tymczasem przepisy AI Act projektują regulację łączącą prawo, technologię, zarządzanie ryzykiem, cyberbezpieczeństwo, dokumentację i odpowiedzialność organizacyjną.

‍

Podsumowanie

‍

Obowiązki dostawców AI należą do najważniejszych elementów AI Act. Dostawca nie odpowiada wyłącznie za stworzenie technologii, ale także za jej zgodność regulacyjną, dokumentację, bezpieczeństwo, przejrzystość, zarządzanie ryzykiem i monitorowanie po wdrożeniu.

‍

Dla przedsiębiorców oznacza to konieczność przejścia od podejścia „budujemy narzędzie AI” do podejścia „budujemy system AI zgodny z prawem, bezpieczny i możliwy do audytu”. Im wcześniej firma ustali swoją rolę, kategorię ryzyka systemu i właściwe wymogi AI Act, tym łatwiej ograniczy ryzyka prawne, kontraktowe i reputacyjne.

‍